(редакция от «[дата]»)
Настоящая Политика описывает подход uralhoz к обеспечению информационной безопасности, защите данных клиентов и непрерывности бизнес-процессов.
1. Цели и область действия
1.1. Политика распространяется на Сайт, корпоративную почту, учетные системы, складские и логистические процессы.
1.2. Цель — обеспечить конфиденциальность, целостность и доступность информации, а также соответствие требованиям законодательства РФ.
2. Роли и ответственность
2.1. Владелец Политики — Руководитель компании/ИП.
2.2. Ответственный за ИБ (назначается приказом) организует внедрение мер, обучение персонала, аудит.
2.3. Сотрудники обязаны соблюдать Политику и локальные регламенты, незамедлительно сообщать о инцидентах безопасности.
3. Классификация и хранение данных
3.1. Данные классифицируются: публичные, служебные, конфиденциальные, коммерческая тайна.
3.2. Коммерческая тайна (прайсы, договоры, КП, база клиентов) хранится в ограниченных хранилищах с разграничением доступа (RBAC).
3.3. Документы с персональными данными сохраняются в зашифрованных контейнерах/дисках; резервные копии — не реже 1 раза в сутки с хранением минимум в двух географически разнесённых местах (или облако + локальный NAS).
4. Доступ и аутентификация
4.1. Принцип минимально необходимого доступа и индивидуальные учётные записи.
4.2. Обязательная двухфакторная аутентификация для почты, облака, CRM/учётных систем.
4.3. Политика паролей: длина ≥12 символов, ротация раз в 90 дней, запрет повторов и общих слов.
5. Сетевые и инфраструктурные меры
5.1. Межсетевой экран/фильтрация, антивирус/EDR, регулярные обновления ОС и ПО.
5.2. Шифрование трафика (HTTPS/TLS) на Сайте, HSTS, отключение устаревших шифров.
5.3. Разделение сред: рабочие станции, серверы, кассовые/сканеры — по отдельным VLAN/правилам доступа.
6. Безопасность веб-сайта
6.1. Регулярные обновления CMS/фреймворков/плагинов; контроль целостности и резервирование БД.
6.2. Защита от типовых атак (OWASP Top-10): WAF, rate-limiting, reCAPTCHA на формах, CSRF-токены.
6.3. Логи доступа и действий администраторов хранятся не менее 90 дней.
7. Работа с поставщиками и ТК
7.1. Выбор контрагентов с учётом их соблюдения норм безопасности и защиты данных.
7.2. Договоры с ТК и аутсорсом содержат положения о конфиденциальности и ответственности за инциденты.
8. Обработка и передача данных клиентов
8.1. Данные используются только для заключения/исполнения договоров, выставления счетов, доставки и поддержки.
8.2. Передача третьим лицам — только по договору/закону и в минимально необходимом объёме.
8.3. Данные маркетинга (e-mail/телефон) — только при наличии согласия; от электронных рассылок можно отказаться по ссылке/запросу.
9. Инциденты и реагирование
9.1. Любой сотрудник обязан немедленно сообщить о подозрении на утечку, вредоносную активность, потерю устройства.
9.2. План реагирования: изоляция, анализ логов, уведомление руководства, при необходимости — уведомление затронутых клиентов и органов власти, восстановление из резервов.
9.3. По итогам — отчёт и корректирующие меры.
10. Обучение и аудит
10.1. Ежегодный инструктаж по ИБ, фишинг-тренировки, чек-листы ИБ на рабочих местах.
10.2. Ежеквартальный внутренний аудит соблюдения Политики и выборочные внешние проверки.
11. Хранение сроков и уничтожение
11.1. Сроки хранения документов — по законодательству и договорам.
11.2. Уничтожение по истечении сроков: шредирование бумажных носителей; безопасное стирание/размагничивание/сдача накопителей.
12. Запросы субъектов и контакты
12.1. Запрос на доступ/исправление/удаление данных направляйте на info@uralhoz.ru